Android 和 Teams 面板上 Teams 會議室 的驗證最佳做法
搭配 Teams 使用的裝置目標需要不同的裝置管理和安全策略。 例如,單一銷售人員所使用的個人商務平板計算機,與許多客戶服務人員共用的通話電話有不同的需求。 安全性系統管理員和營運團隊必須針對組織中使用的裝置進行規劃。 他們必須實作最適合每個用途的安全性措施。 本文提供的建議可讓您更輕鬆地做出其中一些決策。 通常,Android 和 Teams 面板 裝置上的 Teams 會議室 會與資源帳戶一起部署,而資源帳戶應特別針對其功能進行設定。 如果貴組織中有一些使用者以個人模式在Android上使用 Teams 會議室,則必須進行特定的安全性設定,以確保他們可以成功登入裝置。
注意事項
條件式存取需要 Microsoft Entra ID P1 或 P2 訂閱。
注意事項
Android 行動裝置的原則可能不適用於 Teams Android 裝置。
針對個人帳戶和 Teams 資源帳戶使用相同控制措施的挑戰
共用的 Teams 裝置不能使用與個人帳戶和裝置相同的註冊和合規性要求。 將個人裝置驗證需求套用至共用裝置會導致登入問題。 資源帳戶的個人帳戶安全性有一些挑戰:
裝置已註銷,因為密碼到期。
如果 Teams 裝置上使用的帳戶有密碼過期原則,當密碼到期時,Teams 會議室或面板裝置將會自動登出。 與共享空間裝置搭配使用的帳戶不會有特定用戶在密碼過期時更新並還原到正常運作狀態。 如果貴組織要求密碼必須過期並偶爾重設,則這些帳戶會停止在 Teams 裝置上運作,直到 Teams 裝置系統管理員重設密碼並手動重新登入裝置為止。 應將 Teams 資源帳戶排除在密碼到期日之外。
如果帳戶是使用者個人帳戶,當他們的密碼到期時,他們可以輕鬆地再次將裝置重新登入。
裝置無法登入,因為條件式存取原則需要使用者互動式多重要素驗證。
如果 Teams 裝置上使用的帳戶受限於條件式存取原則,且已啟用 MFA) 原則的多重要素驗證 (,Teams 資源帳戶將無法成功登入,因為它沒有次要裝置來核准 MFA 要求。 Teams 資源帳戶應該使用替代的次要因素驗證來保護,例如已知的網路或相容的裝置。 或者,如果條件式存取原則已啟用需要在 X 天重新撰寫,Android 或 Teams 面板 裝置上的 Teams 會議室將會登銷,並要求 IT 系統管理員在每隔 X 天重新登入。
如果帳戶是使用者個人帳戶,在 Android 或 Teams 面板上 Teams 會議室 可能需要使用者互動式 MFA,因為使用者會有第二個可以核准驗證要求的裝置。
使用 Teams 部署共用 Android 裝置的最佳做法
Microsoft在組織中部署 Teams 裝置時,建議使用下列設定。
使用 Teams 會議室 資源帳戶並停用密碼到期
Teams 共用裝置應使用 Teams 會議室 資源帳戶。 您可以將這些帳戶同步處理至 Active Directory Microsoft Entra ID,或直接在 Microsoft Entra ID 中建立。 使用者的任何密碼到期原則也會套用至 Teams 共用裝置上使用的帳戶,因此,若要避免密碼到期原則造成的干擾,請將共用裝置的密碼到期原則設為永不過期。
使用遠端登入
租用戶系統管理員可以從遠端登入 Android 和 Teams 面板上的 Teams 會議室。 租用戶系統管理員應使用遠端登入來發行驗證碼,而不是與技術人員共用密碼來設定裝置。 您可以從 Teams 系統管理中心登入這些裝置。 如需詳細資訊,請參閱 Teams Android 裝置的遠端布建和登入。
建立資源帳戶的唯一條件式存取原則
Microsoft Entra 條件式存取會設定裝置或帳戶必須符合的需求,才能登入。 針對 Teams 會議室 資源帳戶,建議您建立新的條件式存取原則,該原則適用於您的 Teams 會議室 資源帳戶,然後將帳戶從所有其他組織的條件式存取原則中排除。 若要使用共用裝置帳戶達成 MFA (多重要素驗證) ,我們建議使用已知網路位置和相容裝置的組合。
使用以位置為基礎的存取與具名位置
如果共用裝置安裝在已定義的位置,可以使用IP位址範圍識別,您可以使用這些裝置的 具名位置 來設定條件式存取。 此條件可讓這些裝置僅在您的網路記憶體取您的公司資源。
使用符合規範的裝置
注意事項
裝置合規性需要註冊 Intune。
您可以將裝置合規性設定為條件式存取中的控件,讓只有相容的裝置可以存取您的公司資源。 Teams 裝置可以根據裝置合規性來設定條件式存取原則。 如需詳細資訊,請參閱 條件式存取:需要符合規範的裝置。
若要使用 Intune 為您的裝置設定合規性原則,請參閱使用合規性原則為您使用 Intune 管理的裝置設定規則。
排除資源帳戶的登入頻率條件
在條件式存取中,您可以 設定登入頻率 ,要求使用者在指定的時段後再次登入以存取資源。 如果資源帳戶強制執行登入頻率,裝置會註銷,直到系統管理員再次登入為止。
使用裝置的篩選
若要更精細地控制哪些專案可以使用資源帳戶登入 Teams,或針對使用個人帳戶在 Android 裝置上登入 Teams 會議室的使用者控制原則,可以使用裝置篩選。 裝置篩選是條件式存取中的一項功能,可讓您根據 Microsoft Entra ID 中提供的裝置屬性,為裝置設定更精細的原則。 您也可以在裝置物件上設定 1-15 擴展名屬性,然後使用這些值,藉此使用您自己的自定義值。
使用裝置篩選來識別您的共享裝置,並在兩個關鍵案例中啟用原則:
從適用於個人裝置的原則中排除共享裝置。 例如,對於用於快捷式計算機的共用裝置 ,不會強制要求 裝置合規性,但會根據型號對所有其他裝置 強制執行 。
在不應該套用至個人裝置 的 共用裝置上強制執行特殊原則。 例如,根據您為這些裝置設定的擴充功能屬性要求命名位置為原則, (例如:CommonAreaPhone) 。
注意事項
只有當裝置由 Intune 管理時,才能設定型號、製造商和操作SystemVersion等某些屬性。 如果您的裝置不受 Intune 管理,請使用擴充功能屬性。
Teams 舊版授權
Teams 升級設定原則提供一個名為 BlockLegacyAuthorization 的設定,啟用時可防止 Android 和 Teams 面板上的 Teams 會議室 連線至 Teams 服務。 若要深入瞭解此原則,請參閱 Set-CsTeamsUpgradeConfiguration 或執行 Get-CsTeamsUpgradeConfiguration,檢查您的租使用者中是否已啟用 BlockLegacyAuthorization 。
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization